TRAITE D^OOPERATION EN MATIERE dl BREVETS 



WO 01/86601 
PCT/FR01/01359 



Expediteur: le BUREAU INTERNATIONAL 



PCT 

AVIS INFORMANT LE DEPOSANT DE LA 
COMMUNICATION DE LA DEMANDE 
INTERNATIONALE AUX OFFICES DESIGNES 

(regie 47.1.c), premiere phrase, du PCT) 



Date d'expedition G'our/mois/annee) 

15novembre2001 (15.11.01) 



Reference du dossier du deposant ou du mandataire 
PCT 3879/BC 



Destinataire: 

CORLU, Bernard 
Bull CP8 
PC62A24 

68, route de Versailles 



Boite postale 45 I " 

F-78431 LouveciennesCed^EQU 0 
FRANCE 2_ 



2 3 NOV. 2001 



AVIS 




Demande internationale n 
PCT/FR01/01359 



Date du depot international (jour/mois/annee) 
04 mai 2001 (04.05.01) 



Date de priorite Gour/mois/annee) 
09 mai 2000 (09.05.00) 



Deposant 



BULL CP8 etc 



1. II est notifi6 par la presente qu'a la date indiquee ci-dessus comme date d'expedition de cet avis, le Bureau international a 
communique, comme le prevoit I'article 20, la demande internationale aux offices d6signes suivants: 

KR,US 



% jGonformement a la regie 47.1. c), troisieme phrase, ces offices acceptent le present avis comme preuve determinante 
^du fait que la communication de la demande internationale a bien eu lieu a la date d'expedition indiquee plus haut, et le 
\#£posant n'est psis tenu de remettre de copie de la demande internationale a Poffice ou aux offices designed. 

2. l^es offices d6signes suivants ont renonce d I'exigence selon laquelle cette communication doit etre effectuee ai cette date: 
AU,BR,CA,CN,EP,JP,NO,SG 



La communication sera effectuee seulement sur demande de ces offices. De plus, le deposant n'est pas tenu de remettre 
de copie de la demande internationale aux offices en question (regie 49.1)a-bis)). 

3. Le present avis est accompagne d'une copie de la demande internationale publi6e par le Bureau international le 
15 novembre 2001 (15.1 1.01) sous le numero WO 01/86601 

RAPPEL CONCERNANT LE CHAPITRE II (article 31.2)a) et regie 54.2) 

Si le deposant souhaite reporter I'ouverture de la phase nationale jusqu'a 30 mois (ou plus pour ce qui concerne certains 
offices) a compter de la date de priorite, la demande d'examen preliminaire international doit etre presentee a 
I'administration competente charged de I'examen preliminaire international avant I'expiration d'un delai de 19 mois a 
compter de la date de priorite. 

II appartient exclusivement au d6posant de veiller au respect du delai de 19 mois. 

II est a noter que seul un deposant qui est ressortissant d'un £tat contractant du PCT lie par le chapitre II ou qui y a son 
domicile peut presenter une demande d'examen preliminaire international (actuellement, tous les btats contractants 
du PCTsont lies par le chapitre II). 

RAPPEL CONCERWANT L'OUVERTURE DE LA PHASE NATIONALE (article 22 ou 39.1)) 

Si le deposant souhaite que la demande internationale procede en phase nationale, il doit, dans le delai de 20 mois ou 
de 30 mois, ou plus pour ce qui concerne certains offices, accomplir les actes mentionnes dans ces dispositions auprds 
de chaque office designe ou elu. 

Pour d'autres informations importantes concernant les delais et les actes a accomplir pour I'ouverture de la phase 
nationale, voir I'annexe du formulaire PCT/IB/301 (Notification de la reception de I'exemplaire original) et le Guide du 
deposant du PCT, volume II. 



Bureau international de I'OMPI 


Fonctionnaire autorise 


34, chemin des Colombettes 


J. Zahra 


1211 Geneve 20, Suisse 


n* de telecopies (41-22) 740.14.35 


n° de telephone (41-22) 338.91.11 



Formulaire PCT/IB/308 (avril 2001) 4435128 



4> " 



This Page Blank (uspto) 



(12) DEMANDE INTERNATIONALE PUBLIEE EN VERTU DU TRAITE DE COOPERATION 

EN MATIERE DE BREVETS (PCT) 



(19) Organisation Mondiale de ia Propriete 
Intellectuelle 

Bureau international 




(43) Date de la publication international (10) Numero de publication intemationale 

15 novembre 2001 (15.11.2001) PCT WO 01/86601 Al 



(51) Classification Internationale des brevets 7 : G07F 7/12 

(21) Numero de la demande intemationale : 

PCT/FR01/01359 

(22) Date de depot international : 4 mai 2001 (04.05.2001) 

(25) Langue de depot : francais 

(26) Langue de publication : francais 

(30) Donnees relatives a la priori te : 

00/05894 9 mai 2000 (09.05.2000) FR 

(71) Deposant (pour tous les Etats designes sauf US) : BULL 
CP8 [FR/FR]; 68, route de Versailles, Boite postale 45, 
F-78431 Louveciennes Cedex (FR). 

(72) Inventeur; et 

(75) Inventeur/Deposant (pour US seulement) : HAZARD, 



Michel [FR/FR]; 27, rue des Harias, F-78124 Mareil sur 
Mauldre (FR). 

(74) Mandataire : CORLU, Bernard; Bull CP8, PC62A24, 
68, route de Versailles, Boite postale 45, F-78431 Louveci- 
ennes Cedex (FR). 

(81) Etats d&ignes (national) : AU, BR, CA, CN, JP, KR, NO, 
SG, US. 

(84) Etats designes (regional) : brevet europeen (AT, BE, CH, 
CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, 
SE, TR). 

Publiee : 

— avec rapport de recherche international 

En ce qui conceme les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



(54) Title: METHOD FOR AUTHENTICATING A PORTABLE OBJECT, CORRESPONDING PORTABLE OBJECT, AND AP- 
PARATUS THEREFOR 

(54) Titre: PROCEDE POUR AUTHENTIFIER UN OB JET PORTATIF, OB JET PORTATIFCORRESPONDANT, ET APPAREIL 
POUR METTRE EN OEUVRE LE PROCEDE 



31 



CODE i 



35 



EXECUTION 

ROUTINE 

DE SIGNATURE 




ADRESSE 
DEBUT 


ADRESSE 
FIN 


PAS 




ALEA E 


CLE Ki 



36 



32i 



33i 



34i 



(57) Abstract: The invention concerns a method for authenticating a portable object comprising data processing means and data 
storage means, the data storage means containing at least a code (i) defining operations capable of being executed by the portable 
object, and a one-way function. The invention is characterised in that said method comprises a step which consists in sending to the 
^ portable object a command (3 1 , 32i-34i, 35, 36) for the latter to execute a calculation of a result by applying to said one-way function 
at least part of said code (i), said result being used to determine whether the portable object is authentic or not. The invention also 
concerns the associated portable object and an apparatus designed to co-operate with the portable object. 

so 

(57) Abrege : L* invention conceme un proce'dd pour authentifier un objet portatif comprenant des moyens de traitement d'infor- 
* — mation et des moyens de memorisation d* information, les moyens de memorisation d'information contenant au moins un code (i) 
definissant des operations susceptibles d'etre executees par V objet portatif, ainsi qu'une fonction a sens unique. Selon T invention, 
ce procede comprend r€tape consistant a envoyer a Tobjet portatif un ordre (31, 32i-34i, 35, 36) pour que celui-ci execute un calcul 
Q d*un rdsultat en appliquant a ladite fonction a sens unique au moins une partie dudit code (i), ce resultat 6tani utilise' pour decider 
^ si T objet portatif est authentique ou non. V invention conceme aussi T objet portatif associe* et un appareil destine a coopdrer avec 
^* Tobjet portatif. 
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PROCEDE POUR AUTHENTIFIER UN OBJET PORTATIF, OBJET 
PORTATIF CORRESPONDANT, ET APPAREIL POUR METTRE EN 
OEUVRE LE PROCEDE 

5 De nombreux domaines d'activite ont aujourd'hui recoups a des objets 

portatifs comportant des moyens de traitement d'information et des moyens 
de memorisation d'information, notamment sous la forme de cartes a 
microprocesseur, pour securiser les acces aux services qu'ils offrent. Bien 
que presentant un niveau de securite eleve, ces objets portatifs ne 

10 procurent pas une securite totale : pour les applications les plus sensibles 
(porte-monnaie electronique, carte de debit/credit pour le paiement, 
television a peage), I'authentification de I'objet portatif au moyen de la 
cryptographie symetrique voire asymetrique s'avere insuffisante. En effet, 
ce moyen d'authentification repose sur la detention, par les objets portatifs, 

15 de cles secretes. Or, Texperience prouve que des fraudeurs, tres 
competents et disposant de moyens importants, arrivent a decouvrir des 
cles secretes se trouvant pourtant dans des zones memoire normalement 
inaccessibles depuis I'exterieur des objets portatifs. Une cle secrete 
corrompue permet a un fraudeur ou a une organisation frauduleuse de tirer 

20 un avantage substantiel en vendant a bas prix des objets portatifs clones 
offrant les memes services que les objets portatifs authentiques. Le 
fraudeur realisera un objet portatif clone de I'objet portatif authentique en 
realisant un produit repondant aux fonctions de Tobjet portatif authentique, 
sans prendre en compte tout ce qui limite Tusage de Tobjet portatif et tout 

25 ce qui concerne la securite du produit. 

Dans le domaine des cartes a puce, lorsqu'un operateur de 
telecommunications, de television, ou une institution bancaire a recours a la 
carte, il met en place une procedure d'acceptation du produit, qui comporte 
deux volets : 

30 1) I'homologation fonctionnelle du produit, qui garantit la conformite au 

cahier des charges ; 
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2) revaluation securitaire du produit, qui permet de verifier que ies 
exigences securitaires sont satisfaites. 

Une fois le produit accepte (sur le plan materiel et logiciel), il n'existe 
pas de moyen de verifier qu'une carte a fait l'objet d'une procedure 
5 d'acceptation, autre que par I'authentification utilisant une cle secrete, ce 
qui suppose que cette cle n'a en aucun cas pu etre corrompue et ne peut 
done qu'etre associee a un produit accepte. 

L'objet de la presente invention consiste a offrir une solution au 
probleme pose. L'idee de base repose sur le fait qu'une cle secrete ne doit 

10 pas etre dissociee du produit qui I'exploite, et notamment du code ou 
programme execute par Ies moyens de traitement d'information de l'objet 
portatif. Par voie de consequence, il convient, de fa?on dynamique, 
d'authentifier le code avant de faire confiance aux cles. Par 
« authentication dynamique », on entend une authentification effectuee de 

15 fa?on repetee au cours de la vie de l'objet portatif, plus precisement a 
I'occasion des differentes sessions dans lesquelles l'objet portatif est utilise. 
Par exemple, dans le domaine de la television a peage, on authentifiera le 
code pendant remission, a intervalles de temps predetermines ; dans le 
domaine du paiement, on authentifiera le code lors de chaque transaction 

20 effectuee dans le cas ou le terminal cooperant avec I'objet portatif est en 
mode « connecte » a une autorite. 

L'invention concerne a cet effet un precede pour authentifier un objet 
portatif comprenant des moyens de traitement d'information et des moyens 
de memorisation d'information, Ies moyens de memorisation d'information 

25 contenant au moins un code definissant des operations susceptibles d'etre 
executees par l'objet portatif, ainsi qu'une fonction a sens unique, caracterise 
en ce qu'il comprend Tetape consistant a envoyer a l'objet portatif un ordre 
pour que celui-ci execute un calcul d'un resultat en appliquant a ladite 
fonction a sens unique au moins une partie dudit code, ce resultat etant 

30 utilise pour decider si l'objet portatif est authentique ou non. 
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L'invention concerne aussi un procede pour faire executer par un objet 
portatif une operation sensible, I'objet portatif cornprenant des moyens de 
traitement d'information et des moyens de memorisation d'information, les 
moyens de memorisation d'information contenant au moins un code 
5 definissant des operations susceptibies d'etre executees par I'objet portatif, 
ainsi qu'une fonction a sens unique, caracterise en ce qu'il comprend I'etape 
consistant a envoyer a I'objet portatif un ordre pour que celui-ci execute un 
calcul d'un resultat en appliquant a ladite fonction a sens unique au moins 
une partie dudit code , ledit resultat intervenant dans la mise en oeuvre de 

10 ladite operation sensible, cette operation n'etant realisee avec succes que 
dans le cas ou I'objet portatif est authentique. 

Uinvention concerne encore un objet portatif cornprenant des moyens 
de traitement d'information et des moyens de memorisation d'information, les 
moyens de memorisation d'information contenant au moins un code 

15 definissant des operations susceptibies d'etre executees par I'objet portatif, 
ainsi qu'une fonction a sens unique, caracterise en ce qu'il comprend des 
moyens pour executer un calcul d'un resultat en appliquant a ladite fonction 
a sens unique au moins une partie dudit code. 

L'invention concerne enfin un appareil cornprenant des moyens de 

20 traitement d'information et des moyens de memorisation d'information et 
agence pour communiquer avec un objet portatif afin d'authentifier celui-ci, 
I'objet portatif cornprenant des moyens de traitement d'information et des 
moyens de memorisation d'information, les moyens de memorisation 
d'information de I'objet portatif contenant au moins un code definissant des 

25 operations susceptibies d'etre executees par I'objet portatif, ainsi qu'une 
fonction a sens unique, caracterise en ce qu'il comprend des moyens pour 
envoyer a I'objet portatif un ordre pour que celui-ci execute un calcul d'un 
resultat en appliquant a ladite fonction a sens unique au moins une partie 
dudit code de I'objet portatif. 
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D'autres details et avantages de la presente invention apparaltront 
au cours de la description suivante d'un mode d'execution prefere mais non 
limitatif, en regard des dessins annexes sur lesquels : 



traitement d* information ; 

La figure 2 est un organigramme d'une procedure de verification d'une 
signature calculee par un objet portatif sur un code qu'il detient ; 

La figure 3 represente un format de message envoye a I'objet portatif 
10 pour que celui-ci calcule une signature de code ; et 

La figure 4 represente une procedure d'authentification d'une carte a 
puce, conformement aux normes GSM. 

La figure 1 represente un dispositif de traitement d'information 1 

15 cooperant avec un objet portatif 7. Le dispositif de traitement d'information 
comprend de fafon connue en soi des moyens de traitement d'information 2 
auxquels sont relies une memoire non volatile 3, une memoire RAM 4, des 
moyens 5 pour cooperer, avec ou sans contact physique, avec I'objet portatif 
7, et une interface de transmission 6 permettant au dispositif de traitement 

20 d'information de communiquer avec un reseau de communication 
d'information. Le dispositif de traitement d'information 1 peut en outre etre 
equipe de moyens de stockage tels que des disqueftes ou disques amovibles 
ou non, de moyens de saisie (tels qu'un clavier et/ou un dispositif de 
pointage du type souris) et de moyens d'affichage, ces differents moyens 

25 n'etant pas represents sur la figure 1 . 

Le dispositif de traitement d'information peut etre constitue par tout 
appareil informatique installe sur un site prive ou public et apte a fournir des 
moyens de gestion de Tinformation ou de delivrance de divers biens ou 
services, cet appareil etant installe a demeure ou portable. II peut notamment 

30 s'agir aussi tfun appareil dedie aux telecommunications. 



5 



La figure 1 represente un objet portatif cooperant avec un dispositif de 
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Par ailleurs, l'objet portatif 7 porte une puce incluant des moyens de 
traitement d'information 8, relies d'un cote a une memoire non volatile 9 et a 
une memoire volatile de travail RAM 10, et relies d'un autre cote a des 
moyens 11 pour cooperer avec le dispositif de traitement d'information 1. La 
5 memoire non volatile 9 peut comprendre une partie non modifiable ROM et 
une partie modifiable EPROM, EEPROM, ou constitute de memoire RAM du 
type "flash" ou FRAM (cette derniere etant une memoire RAM 
ferromagnetique), c'est-a-dire presentant les caracteristiques d'une memoire 
EEPROM avec en outre des temps d'acces identiques a ceux d'une RAM 
10 classique. 

En tant que puce, on pourra notamment utiliser un microprocesseur 
autoprogrammable a memoire non volatile, tel que decrit dans le brevet 
americain n° 4.382.279 au nom de la Demanderesse. Dans une variante, le 
microprocesseur de la puce est remplace - ou tout du moins complete - par 

15 des circuits logiques implantes dans une puce a semi-conducteurs. En effet, 
de tels circuits sont aptes a effectuer des calculs, notamment 
d'authentification et de signature, grace a de I'electronique cablee, et non 
microprogrammee. lis peuvent notamment etre de type ASIC (de I'anglais 
« Application Specific Integrated Circuit »). Avantageusement, la puce sera 

20 congue sous forme monolithique. 

L'objet portatif stocke, dans une zone de sa memoire non volatile 9 qui 
est de preference accessible seulement aux moyens de traitement 8, un code 
ou programme de fonctionnement incluant Tun ou/et Tautre des programmes 
suivants : 

25 -un systeme d'exploitation correspondant a un programme gerant des 
fonctions de base de Pobjet portatif ; 

-un programme effectuant une interpretation entre un langage systeme et un 
langage de plus haut niveau ; 

-un ou plusieurs programmes d'application correspondant a une ou plusieurs 
30 applications offertes par l'objet portatif (application carte bancaire, 
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application porte-monnaie electronique, application controle d'acces des 
personnes, etc.). 

De preference et comme explique par la suite, ce code inclura une 
partie de « programme machine » ou programme ecrit avec un langage 

5 propre aux moyens de traitement 8. 

Ce code peut etre stocke dans une zone de memoire ROM masquee 
ou dans une zone de memoire EEPROM de la memoire non volatile 9, ou 
encore en partie dans ces deux zones. Le code inclut une routine de 
signature apte a calculer une signature d'une partie parametrable du code. 

10 Avantageusement, !a routine de signature comprend une fonction apte a 
calculer un condense de la partie de code : il s'agit par exemple d'un 
checksum (ou somme de controle) ou d'une fonction de hachage telle que 
MD5 ou SHA, manipulant des bits du code en leur appliquant une fonction 
mathematique. La routine de signature comprend encore un algorithme de 

15 signature apte a signer le condense de la partie de code : il peut s'agir d'un 
algorithme symetrique tel que le triple DES (de I'anglais Data Encryption 
Standard) en mode « MAC » (de I'anglais « Message Authentication Code » 
ou code d'authentification de message) ou d'un algorithme asymetrique tel 
que le RSA (des auteurs Rivest, Shamir, et Adleman). L'algorithme de 

20 signature utilise une cle secrete Ki qui, soit est fournie a I'objet portatif au 
moment de calculer la signature, soit est stockee dans une zone secrete de 
la memoire non volatile 9 de I'objet portatif, accessible aux seuls moyens de 
traitement d'information 8. Un avantage de la premiere solution est qu'elle 
permet de modifier dans le temps la cle secrete utilisee. Dans le cas ou la cle 

25 secrete Ki est fournie a I'objet portatif, elle Test de preference sous forme 
chiffree au moyen d'une autre cle K 2 , I'objet portatif detenant, selon le type 
d'algorithme de chiffrement utilise, soit cette meme cle, soit une cle correlee 
a celle-ci,-en vue de dechiffrer la cle secrete Ki. De fa?on connue en soi, le 
calcul de signature comme celui de chiffrement fait intervenir un alea fourni a 

30 Tobjet portatif. 
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La procedure de communication avec I'objet portatif est representee 
sur la figure 2. On suppose que le terminal doit donner a I'objet portatif un 
ordre d'executer une operation sensible determinee, operation qui requiert 
au prealable 1'authentification du code contenu dans I'objet portatif. A I'etape 
5 21, le terminal 1 transmet a I'objet portatif un ordre de lecture d' informations 
d'identification de I'objet portatif, stockees en memoire de I'objet portatif et 
definissant le type de la puce portee par cet objet et ie numero de version de 
son systeme d'exploitation. A I'etape 22, le terminal 1 transmet a I'objet 
portatif un ordre de calcul de signature pour que celui-ci execute la routine 

10 de signature. Selon une premiere forme de realisation dans laquelle le 
terminal est en mode « connecte » a une autorite via un reseau de 
communication d'information, c'est-a-dire a un organisme responsable d'une 
operation sensible a executer par I'objet portatif, I'ordre de calcul de 
signature est emis par Tautorite, le terminal se contentant de transmettre cet 

15 ordre a I'objet portatif. Selon une seconde forme de realisation dans laquelle 
le terminal est en mode « non connecte » a Tautorite, I'ordre de calcul de 
signature est emis par le terminal lui-meme. Dans tous les cas, I'ordre de 
calcul de signature prend la forme d'un message dont le format est, selon 
une forme de realisation preferee, represents a la figure 3. Ce message 

20 comprend tout d'abord un ordre 31 d'executer la routine de signature. II 
comprend ensuite, pour chaque code i d'un ensemble de codes 1 a n 
eventuellement impliques dans le calcul de signature, une adresse de debut 
32i designant I'endroit du code i de I'objet portatif ou doit commencer la 
partie de code a considered une adresse de fin 33i ou doit se terminer cette 

25 partie de code, et un pas 34i definissant, parmi les octets composant le code 
i, ceux qui seront consideres : par exemple, si ce pas est egal a 7, cela 
signifie que I'objet portatif considerera, pour son calcul, un octet sur sept, soit 
le premier octet, puis le huitieme, puis le quinzieme, etc.Le message 
comprend ensuite un alea E (35) qui interviendra dans le calcul de signature 

30 puis, seulement dans le cas ou la cle secrete de signature n'est pas stockee 
dans I'objet portatif, cette cle secrete de signature (36), chiffree. De 
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preference, les valeurs suivantes changent a chaque procedure de 
verification de signature : adresses de debut, adresses de fin, pas, alea E ; 
on notera cependant qu'une securite satisfaisante est deja obtenue en ne 
faisant varier que Tune de ces valeurs. 

5 On notera que, dans le cas ou Tun des codes impliques dans le calcul 

de signature est ecrit en un langage evolue et non dans le langage machine 
propre aux moyens de traitement 8 de I'objet portatif, ce qui est peut etre par 
exemple le cas pour une application bancaire, les adresses de debut 32i et 
de fin 33i sont remplacees par un identifiant general de ce code. 

10 De preference, lorsque !a c!e secrete de signature K/ est presente 

dans le message, le message inclura en outre un checksum ou une signature 
du message. A reception du message par I'objet portatif, celui-ci recalculera 
le checksum ou la signature, ce qui lui permettra : 
-de s'assurer de I'origine du message ; 

15 -de verifier qu'il n'y a pas eu d'incident de transmission. 

A I'etape 23, I'objet portatif execute le calcul de signature. Dans le cas 
ou il a regu la cle secrete chiffree Ki\ il dechiffre cette cle au moyen d'une 
cle de dechiffrement. II calcule un condense des parties de code a 
considerer, puis il signe ce condense avec la cle secrete Ki en faisant 

20 intervenir I'alea E. A I'etape 24, I'objet portatif transmet la signature ainsi 
calculee au terminal 1 . 

Dans le cas ou le terminal fonctionne en mode « non connecte », il 
verifie lui-meme la signature (etape 25). De preference, le terminal ne 
connait ni le (les) code(s) authentique(s), ni la cle Ki , laquelle est supposee 

25 etre detenue par Tobjet portatif. L'autorite fournit au terminal un message 
conforme a la figure 3, a I'exception de la cle Ki', et une signature 
precalculee correspondant a ce message particulier. Le terminal enverra a 
Tobjet portatif ledit message et, a reception de la signature en provenance 
de I'objet portatif, verifiera celle-ci par comparaison avec sa signature 

30 precalculee. Si la comparaison aboutit positivement, le ou les codes de 
Tobjet portatif sont authentifies et le terminal donne Tordre a I'objet portatif 
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d'executer I'operation sensible precitee (etape 26). Dans la negative, le 
terminal met au rebut ou rejette I'objet portatif (etape 27). 

Dans le cas ou le terminal fonctionne en mode « connecte » a une 
autorite, c'est I'autorite qui emet le message de la figure 3, lequel sera 
5 retransmis par le terminal a I'objet portatif. L'autorite stocke a cet effet dans 
une memoire le ou les codes de I'objet portatif et, soit la cle secrete Ki , soit 
une cle correlee a celle-ci . elle stocke aussi en memoire les autres 
parametres contenus dans le message de la figure 3. L'autorite peut, soit 
precalculer ou recalculer la signature en utilisant I'algorithme de signature et 

10 la cle secrete Ki et la comparer avec la signature regue de I'objet portatif 
(etape 25) via le terminal, soit utiliser la signature re?ue de I'objet portatif 
pour recalculer le condense des codes de I'objet portatif en utilisant un 
algorithme inverse de I'algorithme de signature et, selon I'algorithme utilise, 
soit la cle secrete K n , soit ladite cle correlee a celle-ci ; l'autorite compare 

15 ensuite le condense ainsi recalcule avec un condense des codes qu'elle 
detient en memoire. C'est aussi I'autorite qui declenchera I'execution de 
I'operation sensible (etape 26, figure 2) ou la mise au rebut ou le rejet de 
I'objet portatif (etape 27), le terminal servant seulement d'intermediaire. On 
notera que la procedure en mode « terminal connecte a I'autorite » est plus 

20 fiable que celle en mode « terminal non connecte a I'autorite ». 

En variante, la signature calculee par I'objet portatif n'est pas envoyee 
a Texterieur juste apres son calcul, mais est conservee dans I'objet portatif et 
mise a disposition du monde exterieur de fa?on qu'elle puisse etre lue 
ulterieurement. 

25 En cas de fraude, une cle a generalement pu etre decouverte par le 

fraudeur, permettant a celui-ci d'emettre une quantite importante d'objets 
portatifs clones, contenant cette cle. Ces objets portatifs contiennent un code 
reduit assurant seulement les fonctionnalites indispensables pour mettre en 
oeuvre une application que vise a utiliser le fraudeur, a I'exclusion 

30 notamment des fonctions securitaires : ce code est done different du ou des 
codes d'un objet portatif authentique. La procedure de la figure 2 produira 
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une signature non conforme a la signature authentique, ce qui permettra 
d'ecarter tous ces objets portatifs. 

Si le ou les codes des objets portatifs authentiques contiennent un 
code machine, I'authentification est encore plus fiable. En effet, supposons 

5 que le fraudeur ait pu arriver, a I'aide de moyens tres perfectionnes, a obtenir 
le code contenu dans un objet portatif authentique : il doit alors, pour que les 
objets portatifs clones puissent se faire authentifier, mettre ce code dans 
chaque objet portatif clone sous forme de table de donnees, en plus du code 
non authentique contenu dans les objets portatifs clones, afin que le calcul 

10 d'authentification porte sur le code authentique. En effet, I'objet portatif clone 
utilisera le plus souvent des moyens de traitement differents de ceux de 
I'objet portatif authentique, c'est-a-dire utilisant un code machine ecrit dans 
un langage different, ce code machine ne permettant pas d'aboutir a une 
authentication reussie. La necessity pour le fraudeur, de stocker dans 

15 chaque objet portatif, outre son propre code, celui d'un objet portatif 
authentique, constitue un handicap important qui est de nature a decourager 
la fraude. 

Un premier exemple d'operation sensible a securiser est le suivant : il 
20 s'agit d'une operation de personnalisation d'objets portatifs constitues par 
des cartes a puce. Cette operation, effectuee chez une autorite, consiste a 
stocker, dans une zone secrete de la memoire non volatile des cartes, des 
cles « emetteur » appartenant a I'organisme emetteur des cartes 
considerees, ainsi que des cles « applicatives », permettant aux cartes 
25 d'avoir acces a differentes applications. Selon I'invention, le stockage de ces 
cles en carte ne s'effectuera que si la procedure de verification de la figure 2 
aboutit positivement. 

Un deuxieme exemple d'operation sensible a securiser est celui de la 
television a peage. Ce domaine est Tobjet de fraude permanente affectant un 
30 appareil decodeur d'image utilise dans cette application, et plus recemment 
les cartes utilisees en association avec cet appareil. Les cartes clones 
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contiennent un code reduit permettant de delivrer une cle de 
desembrouillage de I'image de television. 

Dans un mode de fonctionnement ciassique, chaque carte de 
television re?oit periodiquement des messages dits « de controle », qui 
5 contiennent des donnees de controle (date, droits, etc., et une cle de 
desembrouillage chiffree) ; I'ensemble de chaque message est signe. La 
carte verifie la signature, puis dechiffre la cle de desembrouillage. Selon 
I'invention, on ne delivre pas a la carte la cle de desembrouillage mais un 
message du type de celui de la figure 3, lui demandant d'effectuer un calcul 
10 sur une partie du ou des code(s) de la carte, calcul dont le resultat constitue 
la cle de desembrouillage si et seulement si le code de la carte est 
authentique. On constate done que, dans cet exemple, la carte ne transmet 
pas de resultat de calcul a une autorite pour son authentication, 
I'authentification etant implicite et se manifestant par le desembrouillage 
1 5 effectif de I'image de television. 

Un troisieme exemple d'operation sensible a securiser concerne le 
domaine des cartes de debit/credit. Avant que le terminal n'autorise une 
operation de debit/credit de la carte, il declenchera la procedure de la figure 
2, de preference en mode « connecte » a une autorite bancaire. 
20 Avantageusement, Torganisme emetteur des objets portatifs 

communiquera aux organismes utilisateurs de ces objets portatifs, comme 
moyen de verification de I'authenticite de ces objets portatifs a I'occasion de 
leur personnalisation et avant leur diffusion a des usagers individuels, au 
moins un objet portatif de reference dument authentifie par Torganisme 
25 emetteur. L'authentification d'un objet portatif consistera a faire calculer une 
signature du code a la fois dans cet objet portatif et dans Tobjet portatif de 
reference, la comparaison des deux resultats permettant de conclure sur 
I'authenticite de I'objet portatif a verifier. La selection, par Torganisme 
utilisateur, de I'objet portatif de reference approprie parmi un ensemble 
30 d'objets portatifs de reference eventuellement detenus par cet organisme 
s'effectue au moyen des informations d'identification precitees (etape 21 de 
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la figure 2). Ce procede a I'avantage, pour I'organisme emetteur des objets 
portatifs, de ne pas communiquer aux organismes utilisateurs le contenu du 
(des) code(s) des objets portatifs, c'est-a-dire son savoir-faire. II est done 
plus securitaire pour lui. 

5 Avantageusement, la procedure de la figure 2 sera precedee d'une 

operation d'authentification de la personne ou de I'organisme mettant en 
oeuvre cette procedure, selon des moyens connus bases sur la detention, 
par cette personne ou cet organisme, d'un PIN (de I'anglais Personal 
Identification Number) ou mieux d'une cle. 

10 Selon una variante de realisation de ('invention moins avantageuse, le 

procede d'authentification de I'objet portatif consiste a verifier la signature de 
d'une partie fixe du code contenu dans cet objet portatif, eventuellement de 
I'ensemble du code, et non d'une partie de celui-ci variable lors de chaque 
procedure d'authentification. 

15 Selon une autre variante de realisation de ('invention moins 

avantageuse, le procede d'authentification de I'objet portatif n'inclut pas 
I'operation consistant a condenser le code avant sa signature. 

On notera que, si le code est stocke dans I'objet portatif en laissant 
des espaces memoire vides, il sera avantageux de combler ces espaces 

20 avec un code fictif qui ne remplira aucune fonction mais rendra le code plus 
volumineux, ce qui genera d'autant plus le fraudeur dans sa tentative de 
recopier ce code sur des objets portatifs clones. Par « code fictif », on entend 
un code ecrit dans un langage reel mais qui ne sera jamais utilise, c'est-a- 
dire jamais execute. Par opposition, le code effectivement utilise sera appele 

25 « code reel ». 

II existe le risque qu'un fraudeur arrive a identifier le code manipule 
lors de I'operation de signature selon I'invention, en observant le bruit genere 
par I'objet portatif. Selon I'invention, on limite ce risque en ne signant du 
code reel que de temps en temps, notamment a I'occasion d'operations 

30 jugees cruciales du point de vue securitaire. Une telle operation est par 
exemple celle de personnalisation de I'objet portatif, dans laquelle des 
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moyens applicatifs sont inseres dans I'objet portatif, notamment des cles et 
des codes applicatifs. Par contre, lors d'operations courantes moins 
sensibles et plus repetitives, il sera demande a I'objet portatif de signer du 
code fictif. 

5 

II serait utile d'empecher un fraudeur de se faire passer pour une 
autorite habilitee en interrogeant I'objet portatif selon la procedure de la 
figure 2, et en repetant cette operation un grand nombre de fois, de fa?on a 
observer les informations circulant dans I'objet portatif. A cet effet, et selon 
10 un perfectionnement de I'invention, I'objet portatif est agence pour limiter le 
nombre d'appels a la routine de signature a un nombre predetermine. 

Une application de Tinvention au domaine GSM (de I'anglais « Global 
System for Mobile communications ») va maintenant etre presentee. La 

15 figure 4 rappelle le procede defini par les normes GSM, d'authentification par 
un serveur d'authentification 41, de la carte a puce 42 equipant un mobile 
GSM 43. On rappelle que le mobile 43 dialogue avec le serveur 41 via une 
base station 44. Le procede comprend une premiere etape selon laquelle la 
carte envoie au serveur un identifiant IMS I definissant I'identite d'un abonne 

20 porteur du mobile, ainsi que Tidentite de la carte, done du code qui y est 
contenu. En reponse, le serveur envoie a la carte un alea. A partir de cet 
alea, la carte execute une commande connue sous le nom de « RUN GSM 
ALGO » calculant une valeur d'authentification nommee SRES 1 et une cle Kc 
a partir d'une cle Kl propre a la carte. De son cote, le serveur calcule une 

25 valeur d'authentification de reference SRES'. La carte envoie ensuite sa 
valeur d'authentification SRES au serveur, lequel la compare a sa valeur 
d'authentification de reference SRES' afin de determiner si la carte est 
authentique ou non. 

Selon Tinvention, le procede d'authentification ci-dessus est modifie 

30 comme suit : au lieu d'envoyer a la carte un alea classique constitue par un 
nombre defini par le serveur, celui-ci lui envoie le message de la figure 3. A 
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reception, la carte calcuie une signature de code selon I'etape 23 de la figure 
2, basee sur une cle de signature determinee Ki . Ensuite, la carte calcuie la 
valeur d'authentification SRES conformement aux normes GSM, mais en 
utilisant, en tant qu'alea, le resultat de la signature de code au lieu de I'alea 

5 habituellement fourni par le serveur. De preference, le procede selon 
I'invention ne sera pas mis en ceuvre lors de chaque session entre le mobile 
et le serveur mais seulement de temps en temps, de fa$on a reduire le risque 
qu'un fraudeur arrive a identifier le code manipule lors de I'operation de 
signature selon I'invention, en observant le bruit genere par la carte. 

10 Dans ce qui precede, on a decrit une authentification du code de 

I'objet portatif par calcul de signature. En variante, on peut effectuer cette 
authentification au moyen d'un calcul de chiffrement/dechiffrement, comme 
cela est connu en soi. Dans le cas d'un algorithme symetrique, I'objet portatif 
calculera un chiffre de son code avec une cle secrete et I'enverra au terminal 

15 ou a I'autorite qui effectuera ('authentication par chiffrement ou 
dechiffrement. Dans le cas d'un algorithme asymetrique, I'objet portatif 
calculera un chiffre de son code avec une cle publique et I'enverra au 
terminal ou a I'autorite qui effectuera I'authentification par chiffrement ou 
dechiffrement. Par ailleurs, on a presente dans ce qui precede un calcul 

20 d'authentification qui mettait en oeuvre un algorithme cryptograpfiique 
manipulant une ou plusieurs cles, dont I'une est secrete. Un tel algorithme, 
comme le DES ou RSA precites, est dit « trap-door one way », les termes 
« one way » signifiant que la fonction utilisee est a sens unique, et les termes 
« trap-door » signifiant qu'il existe un secret. On rappelle qu'une fonction a 

25 sens unique est une fonction qui peut etre calculee dans un sens sans 
information particuliere, mais qui ne peut pas etre calculee de fagon inverse, 
sauf eventuellement si Ton connait certains parametres. Dans le cas du DES 
et du RSA, ces parametres consistent dans la cle secrete. Selon I'invention, 
I'utilisation d'une fonction « trap-door » est interessante en ce qu'elle apporte 

30 une securite supplementaire basee sur la cle secrete, mais elle n'est pas 
necessaire : il suffit en effet, pour realiser I'operation d'authentification du 
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code de Tobjet portatif, d'effectuer un calcul sur ce code avec toute fonction a 
sens unique, en I'absence de toute manipulation de cle. Une fonction a sens 
unique est notamment une fonction de hachage telle que MD5 ou SHA citees 
precedemment. 
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REVENDICATIONS 

1. Procede pour authentifier un objet portatif (7) comprenant des 
moyens de traitement d'information (8) et des moyens de memorisation 

5 d'information (9,10), les moyens de memorisation d'information contenant au 
moins un code (i) definissant des operations susceptibles d'etre executees 
par I'objet portatif, ainsi qu'une fonction a sens unique, caracterise en ce qu'il 
comprend I'etape consistant a envoyer a I'objet portatif un ordre (31,32i-34i, 
35,36) pour que celui-ci execute un calcul d'un resultat en appliquant a ladite 

10 fonction a sens unique au moins une partie dudit code (i), ce resultat etant 
utilise pour decider si I'objet portatif est authentique ou non. 

2. Procede selon la revendication 1, dans lequel ledit resultat 
intervient dans la mise en ceuvre d'une operation determinee, cette operation 

15 n'etant realisee avec succes que dans le cas ou I'objet portatif (7) est 
authentique. 

3. Procede selon la revendication 2, dans lequel ladite operation 
determinee comprend un dechiffrement d'information, ledit resultat 

20 permettant de produire une cle de dechiffrement associee. 

4. Procede selon la revendication 1 , dans lequel ladite partie de code 
(i) utilisee dans le calcul comprend une partie de code machine. 

25 5. Procede selon la revendication 1, dans lequel I'objet portatif (7) 

contient un code dit « reel » definissant des operations destinees a etre 
executees par I'objet portatif, et un code dit « fictif » definissant des 
operations non destinees a etre executees par I'objet portatif, ladite partie de 
code utilisee dans le calcul comprenant une partie de code fictif. 
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6. Procede seion la revendication 1, dans lequel ledit ordre (31,32i- 
34i, 35,36) est envoye de fapon repetitive a I'objet portatif au cours de sa vie, 
avant I'execution, par celui-ci, desdites operations. 

5 7. Procede selon la revendication 1, dans lequel ladite partie de code 

(i) utilisee dans le calcul est definie par une adresse de debut (32i) et une 
adresse de fin (33i) dans les moyens de memorisation d'information, lesdites 
adresses etant envoyees a I'objet portatif. 

10 8. Procede selon la revendication 1, dans lequel ledit code (i) 

comprend un ensemble de mots binaires, ladite partie de code utilisee dans 
le calcul etant definie par un sous-ensemble de mots binaires comprenant les 
mots binaires repartis dans les moyens de memorisation d'information selon 
un pas determine (34i), ledit pas etant envoye a I'objet portatif. 

15 

9. Procede pour faire executer par un objet portatif (7) une operation 
sensible, I'objet portatif comprenant des moyens de traitement d'information 
(8) et des moyens de memorisation d'information (9,10), les moyens de 
memorisation d'information contenant au moins un code (i) definissant des 

20 operations susceptibles d'etre executees par I'objet portatif, ainsi qu'une 
fonction a sens unique, caracterise en ce qu'il comprend Petape consistant a 
envoyer a I'objet portatif un ordre (31,32i-34i, 35,36) pour que celui-ci 
execute un calcul d'un resultat en appliquant a ladite fonction a sens unique 
au moins une partie dudit code (i), ledit resultat intervenant dans la mise en 

25 ceuvre de ladite operation sensible, cette operation n'etant realisee avec 
succes que dans le cas ou Tobjet portatif (7) est authentique. 

10. Procede selon la revendication 9, dans lequel ladite partie de code 
(i) utilisee dans le calcul comprend une partie de code machine. 
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11. Procede selon la revendication 9, dans lequel I'objet portatif 
contient un code dit « reel » definissant des operations destinees a etre 
executees par I'objet portatif, et un code dit « fictif » definissant des 
operations non destinees a etre executees par I'objet portatif, ladite partie de 

5 code utilisee dans le calcul comprenant une partie de code fictif. 

12. Objet portatif comprenant des moyens de traitement d'information 
(8) et des moyens de memorisation d'information (9,10), les moyens de 
memorisation d'information contenant au moins un code (i) definissant des 

fonction a sens unique, caracterise en ce qu'il comprend des moyens pour 
executer un calcul d'un resultat en appliquant a ladite fonction a sens unique 
au moins une partie dudit code. 

15 13. Objet portatif selon la revendication 12, dans lequel ladite partie 

de code (i) utilisee dans le calcul comprend une partie de code machine. 

14. Appareil (1) comprenant des moyens de traitement d'information 
(2) et des moyens de memorisation d'information (3,4) et agence pour 

20 communiquer avec un objet portatif (7) afin d'authentifier celui-ci, I'objet 
portatif comprenant des moyens de traitement d'information (8) et des 
moyens de memorisation d'information (9,10), les moyens de memorisation 
d'information de I'objet portatif contenant au moins un code (i) definissant 
des operations susceptibles d'etre executees par I'objet portatif, ainsi qu'une 

25 fonction a sens unique, caracterise en ce qu'il comprend des moyens pour 
envoyer a I'objet portatif un ordre (31,32i-34i, 35,36) pour que celui-ci 
execute un calcul d'un resultat en appliquant a ladite fonction a sens unique 
au moins une partie dudit code (i) de I'objet portatif. 

30 15. Appareil selon la revendication 14, dans lequel ladite partie de 

code (i) utilisee dans le calcul comprend une partie de code machine. 
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